Udostępnij za pośrednictwem


Uruchom analizator klienta w systemie Windows

Dotyczy:

Opcja 1. Odpowiedź na żywo

Dzienniki obsługi analizatora punktu końcowego usługi Defender for Endpoint można zbierać zdalnie przy użyciu odpowiedzi na żywo.

Opcja 2. Lokalne uruchamianie analizatora klienta MDE

  1. Pobierz narzędzie MDE Client Analyzer lub narzędzie MDE Client Analyzer (wersja zapoznawcza) na urządzenie z systemem Windows, które chcesz zbadać. Plik jest domyślnie zapisywany w folderze Pliki do pobrania.

  2. Wyodrębnij zawartość elementu MDEClientAnalyzer.zip do dostępnego folderu.

  3. Otwórz wiersz polecenia z uprawnieniami administratora:

    1. Przejdź do pozycji Start i wpisz cmd.

    2. Kliknij prawym przyciskiem myszy wiersz polecenia i wybierz pozycję Uruchom jako administrator.

  4. Wpisz następujące polecenie, a następnie naciśnij Enter:

    *DrivePath*\MDEClientAnalyzer.cmd
    

    Zastąp ciąg DrivePath ścieżką, w której wyodrębniono narzędzie MDEClientAnalyzer, na przykład:

    C:\Work\tools\MDEClientAnalyzer\MDEClientAnalyzer.cmd
    

Oprócz poprzedniej procedury można również zbierać dzienniki obsługi analizatora przy użyciu odpowiedzi na żywo.

Uwaga

W Windows 10 i 11, Windows Server 2019 i 2022 lub Windows Server 2012R2 i 2016 z zainstalowanym nowoczesnym ujednoliconym rozwiązaniem skrypt analizatora klienta wywołuje plik wykonywalny o nazwie MDEClientAnalyzer.exe w celu uruchomienia testów łączności z adresami URL usług w chmurze.

Na Windows 8.1, Windows Server 2016 lub dowolnej poprzedniej wersji systemu operacyjnego, w której do dołączania jest używany program Microsoft Monitoring Agent (MMA), skrypt analizatora klienta wywołuje plik wykonywalny o nazwie MDEClientAnalyzerPreviousVersion.exe w celu uruchomienia testów łączności dla adresów URL poleceń i kontroli (CnC), jednocześnie wywołując narzędzie TestCloudConnection.exe łączności agenta monitorowania firmy Microsoft dla adresów URL kanału Cyber Data.

Ważne kwestie, o które należy pamiętać

Wszystkie skrypty i moduły programu PowerShell dołączone do analizatora są podpisane przez firmę Microsoft. Jeśli pliki zostały zmodyfikowane w jakikolwiek sposób, oczekuje się, że analizator zakończy pracę z następującym błędem:

Błąd analizatora klienta

Jeśli zostanie wyświetlony ten błąd, dane wyjściowe issuerInfo.txt zawierają szczegółowe informacje o przyczynach tego zdarzenia i pliku, którego dotyczy problem:

Informacje o wystawcy

Przykładowa zawartość po zmodyfikowaniu MDEClientAnalyzer.ps1:

Zmodyfikowany plik ps1

Zawartość pakietu wyników w systemie Windows

Uwaga

Dokładne przechwycone pliki mogą ulec zmianie w zależności od czynników, takich jak:

  • Wersja okien, w których jest uruchamiany analizator.
  • Dostępność kanału dziennika zdarzeń na maszynie.
  • Stan początkowy czujnika EDR (czujnik zostaje zatrzymany, jeśli maszyna nie została jeszcze dołączona).
  • Jeśli użyto zaawansowanego parametru rozwiązywania problemów z poleceniem analizatora.

Domyślnie rozpakowany MDEClientAnalyzerResult.zip plik zawiera elementy wymienione w poniższej tabeli:

Folder Element Opis
MDEClientAnalyzer.htm Jest to główny plik wyjściowy HTML, który będzie zawierał wyniki i wskazówki, które może wygenerować skrypt analizatora na maszynie.
SystemInfoLogs AddRemovePrograms.csv Lista oprogramowania zainstalowanego x64 w systemie operacyjnym x64 zebranych z rejestru
SystemInfoLogs AddRemoveProgramsWOW64.csv Lista oprogramowania zainstalowanego x86 w systemie operacyjnym x64 zebranych z rejestru
SystemInfoLogs CertValidate.log Szczegółowy wynik odwołania certyfikatu wykonany przez wywołanie polecenia CertUtil
SystemInfoLogs dsregcmd.txt Dane wyjściowe z uruchamiania dsregcmd. Zawiera on szczegółowe informacje o stanie Microsoft Entra maszyny.
SystemInfoLogs IFEO.txt Dane wyjściowe opcji wykonywania pliku obrazu skonfigurowanych na maszynie
SystemInfoLogs MDEClientAnalyzer.txt Jest to pełny plik tekstowy ze szczegółami wykonywania skryptu analizatora.
SystemInfoLogs MDEClientAnalyzer.xml Format XML zawierający wyniki skryptu analizatora
SystemInfoLogs RegOnboardedInfoCurrent.Json Informacje o dołączonym komputerze zebrane w formacie JSON z rejestru
SystemInfoLogs RegOnboardingInfoPolicy.Json Konfiguracja zasad dołączania zebrana w formacie JSON z rejestru
SystemInfoLogs SCHANNEL.txt Szczegóły dotyczące konfiguracji SCHANNEL stosowanej do maszyny, takiej jak zbierane z rejestru
SystemInfoLogs SessionManager.txt Ustawienia specyficzne dla menedżera sesji zbierają się z rejestru
SystemInfoLogs SSL_00010002.txt Szczegóły dotyczące konfiguracji protokołu SSL zastosowanej do maszyny zebranej z rejestru
EventLogs utc.evtx Eksportowanie dziennika zdarzeń DiagTrack
EventLogs senseIR.evtx Eksportowanie dziennika zdarzeń zautomatyzowanego badania
EventLogs sense.evtx Eksportowanie głównego dziennika zdarzeń czujnika
EventLogs OperationsManager.evtx Eksportowanie dziennika zdarzeń programu Microsoft Monitoring Agent
MdeConfigMgrLogs SecurityManagementConfiguration.json Konfiguracje wysyłane z programu MEM (Microsoft Endpoint Manager) w celu wymuszania
MdeConfigMgrLogs policies.json Ustawienia zasad, które mają być wymuszane na urządzeniu
MdeConfigMgrLogs report_xxx.json Odpowiednie wyniki wymuszania

Zobacz też

Porada

Chcesz dowiedzieć się więcej? Engage ze społecznością microsoft security w naszej społeczności technicznej: Ochrona punktu końcowego w usłudze Microsoft Defender Tech Community.